Минувший месяц ознаменовался сразу несколькими тревожными новостями в сфере ИБ — от уязвимости в новейших процессорах AMD до активных хакерских атак на WordPress-сайты и изменений в выпуске SSL-сертификатов. Расскажем подробнее:
Уязвимость EntrySign: затронуты даже Zen 5
AMD признала, что недавно обнаруженная уязвимость EntrySign оказалась гораздо масштабнее, чем предполагалось. Изначально считалось, что баг затрагивает только первые четыре поколения архитектуры Zen, но теперь выяснилось, что уязвимыми оказались и самые свежие процессоры Zen 5 — включая десктопные Ryzen 9000, серверные EPYC 9005 (Turin), мобильные чипы серии Ryzen AI 300, а также Ryzen 9000HX для игровых ноутбуков.
Уязвимость позволяет загружать неподписанные (вредоносные) обновления микрокода в процессор, обходя встроенный механизм проверки цифровой подписи. Проблема кроется в использовании алгоритма CMAC вместо криптостойкой хэш-функции, что позволяет подобрать коллизии и внедрить вредоносный код. Для атаки злоумышленнику требуется доступ к уровню ядра (Ring 0), что делает EntrySign особенно опасной в среде серверов и дата-центров.
AMD уже выпустила микрокодовые патчи в составе обновления ComboAM5PI 1.2.0.3c AGESA, направленные партнёрам и производителям плат. Однако финальные версии BIOS могут появиться у пользователей только через недели или месяцы. Также AMD предложила патч для ядра Linux, запрещающий загрузку неофициальных микрокодов. Владельцам систем с AMD SEV-SNP рекомендовано обновить прошивку.
WhatsApp для Windows: спуфинг-файл с исполняемым кодом
В мессенджере WhatsApp (версия для Windows) была устранена критическая уязвимость CVE-2025-30401, позволяющая выполнить произвольный код при открытии вложения с подделанными расширениями. Проблема заключалась в несоответствии между MIME-типом файла и расширением, что могло привести к выполнению скриптов и программ без ведома пользователя. Пользователям рекомендовано обновиться минимум до версии 2.2450.6.
WordPress-плагин OttoKit: массовая атака на 100 000 сайтов
Популярный плагин OttoKit (ранее SureTriggers), используемый более чем на 100 000 сайтов WordPress, оказался уязвим к обходу аутентификации (CVE-2025-3102). Баг позволяет атакующим без авторизации создавать новые учётные записи с правами администратора — достаточно отправить специальный HTTP-запрос с пустым полем st_authorization.
Атаки начались в течение нескольких часов после публикации PoC-эксплойта, и эксперты уже фиксируют попытки массового автоматизированного взлома. Всем пользователям OttoKit настоятельно рекомендуется обновиться до версии 1.0.79.
Срок действия SSL-сертификатов сократят до 47 дней
CA/Browser Forum принял решение о поэтапном сокращении срока действия SSL/TLS-сертификатов. К 2029 году их срок службы сократится до 47 дней (а проверка домена — до 10). Это изменение поддержали крупнейшие браузеры и удостоверяющие центры (Google, Apple, Mozilla, Sectigo и др.).
Новая политика направлена на снижение рисков, связанных с устаревшими ключами и скомпрометированными сертификатами. Ожидается, что это вынудит компании внедрять автоматизированную ротацию сертификатов, сделав инфраструктуру интернета в целом надёжнее.
